Digitální transformace s sebou nese i vlnu kybernetických útoků, které podkopávají fungování orgánů veřejné správy a jejich informačních systémů. Jak ale s nepřeberným množstvím firewallů na trhu vybrat vhodné řešení kybernetického zabezpečení?

Možné odpovědi na to ve třech bodech podává Raphaël Granger, account manager pro veřejnou správu ve společnosti Stormshield.

Jaké regulační povinnosti se vážou na veřejný sektor?

Veřejný sektor podléhá řadě různých předpisů o kybernetické bezpečnosti. Každá organizace musí nejprve identifikovat, která nařízení se na ni vztahují. Například v ČR se veřejný sektor musí řídit mimo jiné zákonem č. 181/2014 Sb., o kybernetické bezpečnosti (ZoKB)*, zákonem č. 365/2000 Sb., o informačních systémech veřejné správy, zákonem č. 101/2000 Sb., o ochraně osobních údajů, respektive Obecným nařízením o ochraně osobních údajů (Nařízení EU č. 2016/679). S tím těsně souvisí také eIDAS – nařízení evropského parlamentu a rady EU č. 910/2014 „o elektronické identifikaci a službách vytvářejících důvěru pro elektronické transakce na vnitřním trhu a o zrušení směrnice 1999/93/ES“.

*Pozn. překl.: ZoKB ukládá správcům a provozovatelům informačních a komunikačních systémů, kteří pod jeho působnost spadají, celou řadu povinností – např. zaručit bezpečnost komunikačních sítí, zajistit efektivní a spolehlivou správu a ověřování identit uživatelů, řízení přístupových oprávnění, ochranu před škodlivým kódem, zaznamenávání a vyhodnocování bezpečnostních událostí nebo oddělení ICS/SCADA systémů od „veřejného“ světa.

V současnosti jsou Stormshield Network Security (SNS) jedinými firewally, které francouzská vládní agentura ANSSI* klasifikuje jako „standard“. Záleží na tom?

Je to výsledek složitého procesu, který jde nad rámec certifikace a potvrzuje spolehlivost těchto produktů. Je to také znamení důvěry ANSSI ve Stormshield (který je francouzskou společností) – vládní agentura zkoumá také zdrojový kód řešení a uděluje tuto kvalifikaci po šesti až osmi měsících testování.

*Pozn. překl.: ANSSI má také silné zastoupení na úrovni Evropské unie a NATO, a to prostřednictvím své role Národního úřadu pro bezpečnou komunikaci a kybernetickou bezpečnost (National Communication Security Authority – NCSA a National Cyberdefence Authority – NCDA). Podílí se na zabezpečení komunikace v rámci těchto organizací a zajišťuje, aby EU a NATO měly k dispozici nezbytné struktury a zdroje pro vlastní kybernetickou bezpečnost. ANSSI také zastupuje Francii ve správní radě Agentury EU pro bezpečnost sítí a informací (ENISA) a v síti národních styčných důstojníků (NLO) zřízené mezi agenturou ENISA a členskými státy.

Jaká další kritéria by měla veřejná správa zohledňovat při výběru řešení kybernetického zabezpečení?

Je velmi důležité:

  • Zaměřit se na základní funkce, které skutečně vyhoví vašim nárokům na firewall a naplní shodu se zákonnými požadavky. Namísto výběru produktu disponujícího širokou plejádou funkcí, které se nebudou reálně používat, je důležitější vybrat produkt, který dokonale naplňuje potřeby veřejné správy.
  • Ujistit se, že řešení je vhodné pro potřeby a architekturu vašeho informačního systému (IS).
  • Vybrat si spolehlivého partnera, který se specializuje na ochranu informačních systémů veřejné správy (např. mezi zákazníky Stormshieldu patří různé místní samosprávy, ministerstva nebo bezpečnostní složky).
  • Vybrat si lokálního partnera (Stormshield prostřednictvím své distribuční sítě rozšiřuje regionální přítomnost – v ČR jej zastupuje VPGC a síť partnerů).

Autor: Florian Bonnet, ředitel produktového vývoje, Stormshield
Překlad a úpravy pro český trh: Jan Mazal, CCO, VPGC
Zdroj: Stormshield – Public administrations: how shouls you choose your cybersecurity solution?